スマホで身代金を要求するSLocker TrendMicro社

平成29年7月2日より、スマートフォン(Android)を対象としたランサムウェア「SLocker」の亜種が確認されているとのことで、平成29年7月7日にTrendMicro社がその概要をWebサイトにて報告しました。


引用元:http://blog.trendmicro.co.jp/archives/15401

概要

SLockerには、同年5月下旬より世界中で拡散された「WannaCry」のGUIが複合されており、端末上のファイルを暗号化する機能を持ちます。
当該ランサムウェアによる活動は長期的ではなく、その後、中国のセキュリティ会社による詳細発表、及び複合化ツールが公開されたとのことです。
当該ランサムウェアを含むアプリケーションを拡散した犯人は既に逮捕されていますが、中国で普及しているQQや特定の掲示板等の限られた通信環境上での拡散であったために、被害は少数であったとのことです。

引用元:http://blog.trendmicro.co.jp/archives/15401

同社が確認済みのSLockerを含むアプリケーションは、「王者荣耀」というゲーム用チートツールを装ったアプリケーションであり、インストールされると上の画像のようなGUIが表示されるとのことです。
このGUIは、WannaCryにおける金銭要求画面と大変類似しています。
さらにSLockerの亜種は、ゲームの攻略アプリケーションやビデオプレイヤー等への偽装を可能とし、インストール時には通常のアプリケーションとして表示され、実行後、アプリケ−ション名やアイコン、端末の壁紙が変更されます。


引用元:http://blog.trendmicro.co.jp/archives/1540

 

ファイル暗号化の手法

SLockerの亜種による侵入した端末上の初動は、以前に端末にて当該ランサムウェアが実行されたことがあるかを確認し、実行されたことがない場合において、乱数を生成し、SharedPreferences(永続的にアプリケーション情報を保存するスペース)へ保存します。

次に、外部のストレージディレクトリへ通信し、以下のように新しいスレッドを開始します。
・対象ファイルのパスにおいて「/」「android」「com」「miad」を含まない
・外部ストレージを最上位のディレクトリとして、3階層以内のディレクトリに設置
・ファイルパスに「baidunetdisk」「download」「dcim」のいずれかを含むファイル
・ファイル名に「.」が含まれること
・暗号化されたファイル名のバイト長が 251未満で
・ファイルサイズが 10KB以上、50MB未満

当該ランサムウェアは文章や画像、動画ファイル等の拡張子を持つファイルの暗号化を可能とし、これらのファイル検索を終えると、スレッドがExecutorService(Javaを用いて非同期タスクを実行する機能)によって新しいタスクを実行します。

このタスクは「getsss」という仕組みを利用し、生成された乱数に基づいて暗号を生成します。
getsss」によって乱数のMD5の16進数表現から文字列として16文字を選択し文字列を生成し、「SecretKeySpecAES」を用いて秘密鍵の構築を行います。


引用元:http://blog.trendmicro.co.jp/archives/1540
ファイルの暗号化が完了すると、ファイル名の末尾に文字列が追加されます。
同社の解析によると、複合鍵は、単に前述の乱数に520を足した値であるとのことで、例えば、同社が解析した当該ランサムウェアによって用いられた乱数は10049252でしたが、復号鍵は10049252 + 520で、10049772となります。
この数値を入力することでファイルが復号されます。

関連リンク

ランサムウェアについての報告

TrendMicro社による報告一覧

マルウェア感染50の挙動

HTML HTML HTML

UTM導入サービス
お問い合わせ 045-311-6820 セキュリティに関するお問い合わせ 無料相談受付中
PageTop